New trends in phishing and scams: how AI and social media are changing the game

4 minute de lecture

Mis à jour : August 13, 2025

Voici une synthèse des tendances actuelles dans le domaine du phishing et des escroqueries en ligne.

L’IA et les réseaux sociaux redéfinissent les cyber-escroqueries

Les escroqueries en ligne évoluent rapidement, s’adaptant aux nouvelles technologies comme l’intelligence artificielle (IA) et tirant parti de la popularité des réseaux sociaux et des applications de messagerie. Les cybercriminels créent des contenus de plus en plus sophistiqués pour tromper les victimes.

Points Clés et Tendances :

Génération de Contenu par IA : L’IA est utilisée pour créer des textes (e-mails, messages) et des médias (voix clonées, deepfakes) qui imitent parfaitement les communications légitimes, rendant les fraudes plus convaincantes.
Personnalisation des Attaques : Les cybercriminels exploitent l’IA pour analyser des données publiques (médias, réseaux sociaux, sites d’entreprises) afin de personnaliser les attaques, créant des scénarios de phishing sur mesure pour des individus ou des groupes.
Utilisation Abusive de Services Légitimes : Des plateformes comme Telegram, Google Translate, et même les CAPTCHA sont détournées pour masquer les activités malveillantes, échapper aux détections et dissimuler des liens vers des sites de phishing. Les “blob URLs” sont également utilisées pour cacher des données malveillantes dans le navigateur de la victime.
Ciblage de Données Sensibles et Immunitaires : L’objectif évolue au-delà des identifiants classiques pour viser des données d’identité irréversibles comme les données biométriques (empreintes digitales, reconnaissance faciale), les signatures manuscrites et les empreintes vocales. Les signatures électroniques (ex: DocuSign) sont également des cibles privilégiées.
Sophistication du Contournement de la Double Authentification (2FA) : Les escrocs emploient des techniques d’ingénierie sociale complexes, parfois en plusieurs étapes, pour obtenir des codes OTP (mots de passe à usage unique). Ils peuvent se faire passer pour des services de livraison ou des fonctionnaires pour manipuler les victimes.
Telegram comme Vecteur et Cible : L’application Telegram est de plus en plus utilisée pour propager des menaces via des bots malveillants, créer des sites de phishing, ou pour le vol et la vente de comptes.

Vulnérabilités et Techniques d’Escroquerie :

Messages et Sites de Phishing améliorés par l’IA : Absence d’erreurs grammaticales ou de formatage, rendant les faux messages indiscernables des vrais.
Bots IA sur les Réseaux Sociaux : Utilisation pour des conversations réalistes, notamment dans les rencontres en ligne, visant à obtenir des investissements frauduleux (ex: cryptomonnaies, “pig butchering”).
Deepfakes et Voix Clonées : Création de faux cadeaux (ex: loteries de célébrités sur YouTube) ou d’appels frauduleux (ex: usurpation de services bancaires pour obtenir des codes OTP).
Sites Web de Phishing Générés par IA : Création rapide de clones de sites web légitimes ou de pages de connexion génériques, abaissant le seuil d’entrée pour les cybercriminels.
Bots Telegram Malveillants : Pour les arnaques à l’investissement crypto (faux airdrops), la collecte de données (fausses livraisons postales), ou les promesses de gains rapides.
Usurpation de Comptes Telegram : Utilisation de techniques d’ingénierie sociale pour voler des codes de vérification.
Abus de Services :
- Telegraph (telegra.ph) : Pour héberger des contenus redirigeant vers des pages de phishing.
- Google Translate : Pour masquer des URL malveillantes sous des sous-domaines légitimes.
- CAPTCHA : Ajoutés sur les sites frauduleux pour échapper à la détection automatique.
Blob URLs : Génération de liens temporaires dans le navigateur pour masquer le code de phishing.
Phishing de Données Biométriques : Demande d’accès à la caméra pour une fausse vérification.
Ciblage des Signatures Électroniques et Manuscrites : Attaques spear-phishing sur des plateformes comme DocuSign, et collecte de signatures pour des transactions.
Techniques d’Ingénierie Sociale Multistades : Appels trompeurs, fausses notifications, et manipulation psychologique pour obtenir des codes OTP.

Recommandations :

Vérifier Systématiquement : Examiner avec scepticisme tout appel, e-mail ou message inattendu. Ne pas cliquer sur les liens sans vérification préalable (survol sur ordinateur, appui long sur mobile).
Valider les Sources : Ne jamais partager de codes OTP, quel que soit l’interlocuteur.
Analyser le Contenu : Rechercher des signes de deepfakes (mouvements labiaux, ombres non naturelles) et se méfier des offres trop généreuses ou des célébrités dans des contextes inhabituels.
Limiter son Empreinte Numérique : Éviter de publier des informations sensibles sur les réseaux sociaux.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

New trends in phishing and scams: how AI and social media are changing the game

L’IA et les réseaux sociaux redéfinissent les cyber-escroqueries

Partager sur

Vous pourriez aimer

Weekly Update 484

Mises à jour hebdomadaires et aperçu des menaces

Massive Rainbow Six Siege breach gives players billions of credits

ISC Stormcast For Sunday, December 28th, 2025 https://isc.sans.edu/podcastdetail/9750, (Sun, Dec 28th)

Point d’information ISC : Alertes et Analyse

Hacker claims to leak WIRED database with 2.3 million records

Fuite massive de données chez Condé Nast